潘虎

摘要：企業(yè)網(wǎng)絡(luò)中經(jīng)常會有整體網(wǎng)絡(luò)速度下降或者部分網(wǎng)段和計(jì)算機(jī)無法上網(wǎng)的情況，為了分析網(wǎng)絡(luò)瓶頸和定位故障點(diǎn)，通過建設(shè)和使用網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)網(wǎng)絡(luò)，管理人員可以收集網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)，分析網(wǎng)絡(luò)流量數(shù)據(jù)確定網(wǎng)絡(luò)內(nèi)數(shù)據(jù)傳遞情況，實(shí)施網(wǎng)絡(luò)改造和設(shè)備設(shè)置解決故障。本文通過在一個(gè)典型的企業(yè)網(wǎng)環(huán)境中使用Cacti監(jiān)控網(wǎng)絡(luò)設(shè)備端口流量，ManageEngine NetFlowAnalyzer監(jiān)測網(wǎng)內(nèi)動態(tài)數(shù)據(jù)流，從而建立了網(wǎng)絡(luò)監(jiān)測系統(tǒng)，可以有效監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)傳遞情況。網(wǎng)絡(luò)管理員可以方便的定位網(wǎng)絡(luò)瓶頸和故障點(diǎn)，具有推廣意義。

關(guān)鍵詞：網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)；SNMP；Cacti；動態(tài)數(shù)據(jù)流；Netflow

中圖分類號：TP393.06 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）21-0039-02

網(wǎng)絡(luò)管理是監(jiān)督、組織和控制網(wǎng)絡(luò)通訊服務(wù)以及信息處理所必需的各種活動的總稱，是網(wǎng)絡(luò)系統(tǒng)持續(xù)高效穩(wěn)定安全運(yùn)行的重要保障。網(wǎng)絡(luò)管理的任務(wù)主要包括：收集網(wǎng)絡(luò)中各設(shè)備和系統(tǒng)的工作數(shù)據(jù)，工作數(shù)據(jù)即時(shí)通知管理員，管理員根據(jù)工作數(shù)據(jù)調(diào)整網(wǎng)絡(luò)設(shè)備的設(shè)置和配置以保障網(wǎng)絡(luò)正常運(yùn)行[1]。網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)是收集、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)設(shè)備端口流量數(shù)據(jù)、園區(qū)網(wǎng)內(nèi)數(shù)據(jù)流數(shù)據(jù)、網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)的軟硬件集合，是實(shí)施網(wǎng)絡(luò)管理的基礎(chǔ)。網(wǎng)絡(luò)管理員使用網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)收集網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)，分析網(wǎng)絡(luò)歷史運(yùn)行狀態(tài)和實(shí)時(shí)運(yùn)行狀態(tài)，可以精確定位園區(qū)網(wǎng)的性能瓶頸，針對網(wǎng)絡(luò)瓶頸調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置；在網(wǎng)絡(luò)運(yùn)行異常時(shí)可以精確定位故障點(diǎn)，即時(shí)排除。在企業(yè)、事業(yè)單位建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，為實(shí)施網(wǎng)絡(luò)管理，保證網(wǎng)絡(luò)持續(xù)高效穩(wěn)定安全運(yùn)行，應(yīng)該建立網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)。

1 在企業(yè)網(wǎng)中部署網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)

1.1 網(wǎng)絡(luò)環(huán)境和建設(shè)目標(biāo)

圖一是某企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)洌壕W(wǎng)絡(luò)的核心網(wǎng)絡(luò)交換機(jī)是Cisco Catalys 4506路由交換機(jī)，匯聚交換機(jī)是Cisco Catalyst 3750G-12S-S三層交換機(jī)， 各業(yè)務(wù)科室接入交換機(jī)是Cisco Catalyst2960交換機(jī)。左側(cè)的華為2403交換機(jī)是辦公室接入交換機(jī)，右側(cè)華為2403連接多個(gè)業(yè)務(wù)服務(wù)器，包括WWW服務(wù)器，數(shù)據(jù)庫服務(wù)器，郵件服務(wù)器等等。交換機(jī)IP地址范圍是172.17.7.0/24，計(jì)算機(jī)IP地址范圍是172.16.0.0/24；企業(yè)申請了4個(gè)外網(wǎng)IP地址，由路由器Cisco 2811完成PAT端口多路復(fù)用功能。

針對這個(gè)園區(qū)網(wǎng)建立網(wǎng)絡(luò)監(jiān)測系統(tǒng)用于監(jiān)控網(wǎng)絡(luò)設(shè)備端口流量數(shù)據(jù)、園區(qū)網(wǎng)絡(luò)動態(tài)數(shù)據(jù)流數(shù)據(jù)、網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)。在X86架構(gòu)服務(wù)器上使用虛擬機(jī)軟件創(chuàng)建兩個(gè)虛擬機(jī)S1、S2。S1安裝Cacti網(wǎng)絡(luò)監(jiān)控軟件監(jiān)測網(wǎng)絡(luò)設(shè)備的端口流量。Cacti是一套開源網(wǎng)絡(luò)檢測分析工具，用PHP網(wǎng)絡(luò)編程語言編寫，使用SNMP網(wǎng)絡(luò)管理協(xié)議管理網(wǎng)絡(luò)設(shè)備[2]。網(wǎng)絡(luò)管理員通過Cacti操作界面設(shè)置監(jiān)控內(nèi)容和顯示方式，查看監(jiān)控結(jié)果。它能實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備狀態(tài)、設(shè)備端口流量數(shù)據(jù)實(shí)時(shí)圖像化顯示；可以預(yù)先設(shè)置網(wǎng)絡(luò)設(shè)備端口流量數(shù)據(jù)閥值、網(wǎng)絡(luò)設(shè)備硬件使用率閥值，當(dāng)系統(tǒng)運(yùn)行數(shù)據(jù)超過閥值時(shí)，Cacti網(wǎng)絡(luò)系統(tǒng)監(jiān)控軟件通過短信、郵件或聲音報(bào)警。

S2安裝ManageEngine NetFlowAnalyzer網(wǎng)絡(luò)流量監(jiān)控分析軟件監(jiān)測網(wǎng)內(nèi)動態(tài)數(shù)據(jù)流。園區(qū)網(wǎng)內(nèi)通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包按照源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型、服務(wù)類型、輸入/輸出接口特征分類，每個(gè)類別就是一個(gè)動態(tài)數(shù)據(jù)流，監(jiān)控每個(gè)動態(tài)數(shù)據(jù)流的特征數(shù)據(jù)可知數(shù)據(jù)的具體流向和流量信息。ManageEngine NetFlowAnalyzer網(wǎng)絡(luò)流量監(jiān)控分析軟件利用Netflow收集網(wǎng)絡(luò)中關(guān)于流量的信息，監(jiān)控分析軟件是NetFlow收集器，接受網(wǎng)絡(luò)設(shè)備即NetFlow代理發(fā)送的NetFlow記錄即動態(tài)數(shù)據(jù)流記錄存入Mysql數(shù)據(jù)庫，分析統(tǒng)計(jì)數(shù)據(jù)提供各種報(bào)表以確定數(shù)據(jù)流的時(shí)間、源目IP、業(yè)務(wù)類別[3]。

1.2 網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)實(shí)施

1.2.1用Cacti建立園區(qū)網(wǎng)的網(wǎng)絡(luò)設(shè)備端口流量監(jiān)控系統(tǒng)

1）安裝軟件：設(shè)置S1的ip地址為172.16.1.66 ，在服務(wù)器S1上安裝centos 6.3，MySql，Apache，PHP，RRDTool，NET-SNMP，Cacti0.0.8a 。在瀏覽器地址欄輸入http：//172.16.1.66/cacti后進(jìn)入Cacti管理界面。

2）為全部網(wǎng)絡(luò)交換機(jī)設(shè)置SNMP參數(shù)。以Cisco 2960交換機(jī)為例（其他交換機(jī)相同）：

Switch-C2960-1（config）#Interface vlan1

Switch-C2960-1（config）#ip address 172.17.7.1 255.255.255.0 設(shè)置本機(jī)管理IP地址；

Switch-C2960-1（config）#snmp-server community netmanage RO 開啟snmp-server功能，設(shè)置只讀community 為netmanage；

3）創(chuàng)建監(jiān)測項(xiàng)目：以Cisco 2960交換機(jī)為例，cacti管理界面有兩個(gè)選項(xiàng)卡， Console選項(xiàng)卡進(jìn)行所有的配置操作；graphs選項(xiàng)卡查看在監(jiān)控項(xiàng)目的數(shù)據(jù)圖形。在console選項(xiàng)卡的device面板創(chuàng)建監(jiān)控項(xiàng)目設(shè)備，輸入description：Switch-C2960-1；Hostname：172.17.7.1；Host Templat：Generic SNMP-enabled Host；SNMP community：netmanage等信息后單擊Create添加成功。創(chuàng)建監(jiān)測項(xiàng)目圖形： device面板點(diǎn)擊Switch-C2960-1設(shè)備端口點(diǎn)擊Create完成創(chuàng)建。打開設(shè)備綜合信息窗口，單擊Create Graphs for this Host創(chuàng)建圖形，在設(shè)備屬性窗口選擇要監(jiān)控的設(shè)備

摘要：計(jì)算機(jī)遠(yuǎn)程監(jiān)控技術(shù)是世界上工業(yè)自動化發(fā)展到一定程度的重要技術(shù)，由于工業(yè)生產(chǎn)過程中的自動化和生產(chǎn)設(shè)備分散化，傳統(tǒng)的現(xiàn)場監(jiān)控措施已經(jīng)不能滿足當(dāng)前的監(jiān)控需求，必須發(fā)展以計(jì)算機(jī)軟件為基礎(chǔ)的遠(yuǎn)程監(jiān)控系統(tǒng)。本文從計(jì)算機(jī)軟件技術(shù)下的遠(yuǎn)程監(jiān)控系統(tǒng)特點(diǎn)、重要性和架構(gòu)出發(fā)，探討如何優(yōu)化當(dāng)前工業(yè)中所需要的遠(yuǎn)程監(jiān)控系統(tǒng)。

關(guān)鍵詞：計(jì)算機(jī)軟件技術(shù)；遠(yuǎn)程監(jiān)控系統(tǒng)；系統(tǒng)構(gòu)架；網(wǎng)絡(luò)系統(tǒng)

中圖分類：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）21-0035-02

遠(yuǎn)程監(jiān)控系統(tǒng)不同于以往的現(xiàn)場監(jiān)控和直接監(jiān)控技術(shù)，是針對現(xiàn)代化大工業(yè)生產(chǎn)的適應(yīng)性監(jiān)控技術(shù)?；谟?jì)算機(jī)的遠(yuǎn)程監(jiān)控系統(tǒng)主要包括計(jì)算機(jī)軟件系統(tǒng)和網(wǎng)絡(luò)傳輸系統(tǒng)，其中網(wǎng)絡(luò)傳輸系統(tǒng)包括現(xiàn)場控制網(wǎng)絡(luò)系統(tǒng)、企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)以及互聯(lián)網(wǎng)通信系統(tǒng)，在這個(gè)網(wǎng)絡(luò)系統(tǒng)之上還需要具體的軟件系統(tǒng)提供相應(yīng)的支持。

1 遠(yuǎn)程監(jiān)控系統(tǒng)的計(jì)算機(jī)軟件設(shè)計(jì)思路

遠(yuǎn)程監(jiān)控系統(tǒng)的計(jì)算機(jī)軟件設(shè)計(jì)要依托當(dāng)前的互聯(lián)網(wǎng)技術(shù)發(fā)展，實(shí)現(xiàn)靈活的遠(yuǎn)程監(jiān)控需要依靠良好的網(wǎng)絡(luò)建設(shè)和充分的軟件支持，遠(yuǎn)程監(jiān)控系統(tǒng)的軟件設(shè)計(jì)要從底層架構(gòu)的構(gòu)建開始向上逐步攀升，以符合最終的監(jiān)控系統(tǒng)應(yīng)用需求。

1.1 基于C/S結(jié)構(gòu)的遠(yuǎn)程監(jiān)控系統(tǒng)設(shè)計(jì)思路

C/S結(jié)構(gòu)最早出現(xiàn)在上世紀(jì)末，即服務(wù)器和客戶端組成的聯(lián)通網(wǎng)絡(luò)，在這個(gè)網(wǎng)絡(luò)系統(tǒng)中，服務(wù)器通過數(shù)據(jù)庫管理客戶端之間的信息和聯(lián)結(jié)，允許或限制客戶端進(jìn)行數(shù)據(jù)庫的讀寫，同時(shí)統(tǒng)籌整個(gè)數(shù)據(jù)網(wǎng)絡(luò)的信息傳輸情況，并對整體的數(shù)據(jù)安全進(jìn)行防護(hù)措施更新。在C/S結(jié)構(gòu)的監(jiān)控系統(tǒng)中，客戶端和服務(wù)器的正?；颖旧砭褪亲钪匾臄?shù)據(jù)傳輸行為，客戶端在申請相關(guān)信息的時(shí)候必須符合服務(wù)器的相關(guān)規(guī)則。這樣才能保證整個(gè)監(jiān)控系統(tǒng)的正常運(yùn)轉(zhuǎn)。

1.2 基于B/S結(jié)構(gòu)的遠(yuǎn)程監(jiān)控系統(tǒng)設(shè)計(jì)思路

B/S結(jié)構(gòu)系統(tǒng)即利用瀏覽器和服務(wù)器之間的聯(lián)結(jié)進(jìn)行監(jiān)控系統(tǒng)信息處理的方式，和上文中提到的監(jiān)控系統(tǒng)設(shè)計(jì)方式不同，這種設(shè)計(jì)思路主要是利用Web瀏覽器來對服務(wù)器進(jìn)行訪問，省略了專用的客戶端機(jī)構(gòu)，通過URL定位來進(jìn)行數(shù)據(jù)庫資源的訪問和讀寫。B/S結(jié)構(gòu)的遠(yuǎn)程監(jiān)控設(shè)計(jì)系統(tǒng)主要利用HTML語言進(jìn)行軟件層面的構(gòu)建，與C/S結(jié)構(gòu)的遠(yuǎn)程監(jiān)控系統(tǒng)設(shè)計(jì)相比，B/S結(jié)構(gòu)系統(tǒng)比較符合當(dāng)前系統(tǒng)移動化和智能化的發(fā)展趨勢。

在B/S結(jié)構(gòu)系統(tǒng)的設(shè)計(jì)思路當(dāng)中，對用戶操作的簡化處于一個(gè)相當(dāng)重要的地位，要確保軟件系統(tǒng)的擴(kuò)展性和易用性，同時(shí)由于使用web進(jìn)行系統(tǒng)和用戶之間的交互，遠(yuǎn)程監(jiān)控系統(tǒng)的維護(hù)與更新都只需要對服務(wù)器上的根程序進(jìn)行調(diào)整，就可以實(shí)現(xiàn)系統(tǒng)的實(shí)時(shí)監(jiān)控與更新。

2 遠(yuǎn)程監(jiān)控系統(tǒng)計(jì)算機(jī)軟件的設(shè)計(jì)流程簡析

2.1 遠(yuǎn)程監(jiān)控系統(tǒng)計(jì)算機(jī)軟件的主要模塊

一般遠(yuǎn)程監(jiān)控系統(tǒng)的計(jì)算機(jī)軟件可以分為兩個(gè)主要模塊，即服務(wù)器端的程序模塊和客戶端的程序模塊，在B/S結(jié)構(gòu)設(shè)計(jì)思路的遠(yuǎn)程監(jiān)控系統(tǒng)中，客戶端的程序模塊可以被簡化和省略，本文從兩種設(shè)計(jì)思路出發(fā)，所以服務(wù)器端程序模塊和客戶端程序模塊都需要做出一定分析。

2.1.1 計(jì)算機(jī)遠(yuǎn)程監(jiān)控系統(tǒng)當(dāng)中服務(wù)器端的軟件模塊

在遠(yuǎn)程監(jiān)控系統(tǒng)當(dāng)中，服務(wù)器端的程序起到總領(lǐng)全體數(shù)據(jù)的作用，一般有以下幾個(gè)重要模塊需要在軟件設(shè)計(jì)的過程中進(jìn)行著重考慮。首先是網(wǎng)絡(luò)模塊，就是指對客戶端連接進(jìn)行監(jiān)聽的模塊，，負(fù)責(zé)網(wǎng)絡(luò)層之間數(shù)據(jù)傳輸?shù)暮侠磉\(yùn)行。其次是數(shù)據(jù)編碼模塊，使用行程編碼或者霍夫曼編碼模式進(jìn)行圖片傳輸?shù)膲嚎s編碼，在遠(yuǎn)程監(jiān)控系統(tǒng)當(dāng)中圖片和視頻的傳輸十分重要，因此編碼技術(shù)在程序中所占的比重很大。最后是主框架模塊，負(fù)責(zé)服務(wù)器的信息處理以及傳輸，一般使用合理的架構(gòu)能夠提高服務(wù)器處理信息的效率。

2.1.2 計(jì)算機(jī)遠(yuǎn)程監(jiān)控系統(tǒng)當(dāng)中客戶端的軟件模塊

和傳統(tǒng)的C/S結(jié)構(gòu)計(jì)算機(jī)遠(yuǎn)程監(jiān)控系統(tǒng)軟件不同，B/S結(jié)構(gòu)的計(jì)算機(jī)遠(yuǎn)程監(jiān)控系統(tǒng)軟件不需要專門的客戶端軟件模塊，只需要在服務(wù)器端利用HTML語言編寫一個(gè)用戶界面就可以對遠(yuǎn)程監(jiān)控系統(tǒng)進(jìn)行操作和數(shù)據(jù)存取，因此客戶端軟件模塊這一項(xiàng)主要是針對C/S結(jié)構(gòu)下正常運(yùn)轉(zhuǎn)所使用和編制的。

在計(jì)算機(jī)遠(yuǎn)程監(jiān)控系統(tǒng)的客戶端軟件中，有以下幾個(gè)部分需要特別關(guān)注。首先是接收服務(wù)器信息與上傳信息的網(wǎng)絡(luò)模塊，與服務(wù)器端不同，這里的網(wǎng)絡(luò)模塊重點(diǎn)在于數(shù)據(jù)的接收和發(fā)送，對網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)和處理方面的功能有所弱化，同時(shí)也要注重正常連接的維持。其次，數(shù)據(jù)解碼模塊也是要和服務(wù)器端的數(shù)據(jù)編碼模塊配套，可以根據(jù)不同的編碼解碼語言設(shè)計(jì)多套數(shù)據(jù)編碼解碼模塊以便操作。另外，在B/S結(jié)構(gòu)下，編碼和解碼模塊都是整合在服務(wù)器端模塊當(dāng)中的。最重要的是用戶的操作模塊，為用戶提供簡單易懂的操作界面以及相關(guān)的系統(tǒng)使用參考，在操作模塊設(shè)計(jì)的過程中應(yīng)該注重操作的便捷性和易用性。

2.2 遠(yuǎn)程監(jiān)控系統(tǒng)計(jì)算機(jī)軟件設(shè)計(jì)的主要過程

計(jì)算機(jī)遠(yuǎn)程監(jiān)控系統(tǒng)主要包括客戶端軟件和服務(wù)器端軟件，在軟件設(shè)計(jì)的過程中要首先對這兩個(gè)模塊進(jìn)行分別設(shè)計(jì)。然而在使用的過程中要通過客戶端的軟件對服務(wù)器端的數(shù)據(jù)進(jìn)行調(diào)動，因此兩者之間的連接和傳輸功能要優(yōu)先落實(shí)，也就是遠(yuǎn)程控制系統(tǒng)的實(shí)現(xiàn)。遠(yuǎn)程控制系統(tǒng)需要有專門的口令傳輸通道，并且可以根據(jù)各項(xiàng)命令對服務(wù)器端進(jìn)行各種操作。當(dāng)遠(yuǎn)程控制系統(tǒng)順利地將客戶端與服務(wù)器端連接起來的時(shí)候，整個(gè)計(jì)算機(jī)軟件系統(tǒng)就基本成型了。

3 計(jì)算機(jī)遠(yuǎn)程監(jiān)控系統(tǒng)的安全問題分析

遠(yuǎn)程監(jiān)控系統(tǒng)在未來會越來越多地運(yùn)用于工業(yè)生產(chǎn)的各個(gè)流程之中，而且隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，遠(yuǎn)程監(jiān)控系統(tǒng)的作用范圍半徑也會不斷增強(qiáng)，這樣遠(yuǎn)程監(jiān)控系統(tǒng)的安全問題就必須得到重視。遠(yuǎn)程監(jiān)控系統(tǒng)的主要作用是現(xiàn)場信息的測控以及遠(yuǎn)程對信息的查看，在傳輸過程中如果不保證數(shù)據(jù)的安全性，就很容易被別有用心的人利用，導(dǎo)致數(shù)據(jù)傳輸不完整或者數(shù)據(jù)傳說過程中出現(xiàn)的數(shù)據(jù)泄露。計(jì)算機(jī)遠(yuǎn)程監(jiān)控系統(tǒng)的安全問題主要應(yīng)該從以下幾個(gè)方面考慮：